【正文】 路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。但是禁止內(nèi)部的客戶端與外部世界之間直接通信(即撥號入網(wǎng)方式)。b)設(shè)置代理服務(wù)器在堡壘主機(jī)上運(yùn)行(如果用戶的防火墻使用代理軟件)來允許內(nèi)部的客戶端間接地訪問外部的服務(wù)器。3)對于進(jìn)來的域名服務(wù)(DNS)站點查詢等。(2)堡壘主機(jī)在屏蔽的子網(wǎng)體系結(jié)構(gòu)中，用戶把堡壘主機(jī)連接到周邊網(wǎng)；這臺主機(jī)便是接受來自外界連接的主要入口。一般來說，來往于堡壘主機(jī)，或防火墻技術(shù)研究24者外部世界的通信，仍然是可監(jiān)視的。因為沒有嚴(yán)格的內(nèi)部通信(即在兩臺內(nèi)部主機(jī)之間的通信，這通常是敏感的或?qū)Ｓ械?能越過周邊網(wǎng)。對于周邊網(wǎng)絡(luò)，如果某人侵入周邊網(wǎng)上的堡壘主機(jī)，他僅能探聽到周邊網(wǎng)上的通信。探聽者可以通過查看那些在Tel、FTP 以及 Rlogin 會話期間使用過的口令成功地探測出口令。對于周邊網(wǎng)絡(luò)的作用，舉例說明如下。即使侵襲者侵入堡壘主機(jī)，它將仍然必須通過內(nèi)部路由器，如圖 6 所示防火墻技術(shù)研究23圖 6 被屏蔽子網(wǎng)體系結(jié)構(gòu)對圖 6 的要點說明如下：(1)周邊網(wǎng)絡(luò)周邊網(wǎng)絡(luò)是另一個安全層,是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個“ 隔離帶” 。屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為：兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。如果路由器被損害，整個網(wǎng)絡(luò)對侵襲者是開放的。然而，比較其他體系結(jié)構(gòu)，如在下面要討論的屏蔽子網(wǎng)體系結(jié)構(gòu)也有一些缺點。進(jìn)而言之，保衛(wèi)路由器比保衛(wèi)主機(jī)較易實現(xiàn)，因為它提供非常有限的服務(wù)組。因為這種體系結(jié)構(gòu)允許數(shù)據(jù)包從因特網(wǎng)向內(nèi)部網(wǎng)的移動，所以它的設(shè)計比沒有外部數(shù)據(jù)包能到達(dá)內(nèi)部網(wǎng)絡(luò)的雙重宿主主機(jī)體系結(jié)構(gòu)似乎是更冒風(fēng)險。用戶可以針對不同的服務(wù)混合使用這些手段；某些服務(wù)可以被允許直接經(jīng)防火墻技術(shù)研究22由數(shù)據(jù)包過濾，而其他服務(wù)可以被允許僅僅間接地經(jīng)過代理。在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行：(1)允許其他的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接(即允許那些已經(jīng)由數(shù)據(jù)包過濾的服務(wù))。因此，堡壘主機(jī)需要擁有高等級的安全。即使這樣，也僅有某些確定類型的連接被允許。在這種體系結(jié)構(gòu)中,主要的安全由數(shù)據(jù)包過濾。但這種體系結(jié)構(gòu)中用戶訪問因特網(wǎng)的速度會較慢，也會因為雙重宿主主機(jī)的被侵襲而失效。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，同時防火墻外部的系統(tǒng)(在因特網(wǎng)上)能與雙重宿主主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。然而，實現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。防火墻技術(shù)研究19第三章 防火墻的體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計算機(jī)而構(gòu)筑的，該計算機(jī)至少有兩個網(wǎng)絡(luò)接口。采用 Winsock 2 SPI 的優(yōu)點是非常明顯的：其工作在應(yīng)用層以 DLL 的形式存在，編程、測試方便；跨 Windows 平臺，可以直接在 Windows98/ME/NT/2021/XP 上通用，Windows95 只需安裝上Winsock 2 for 95，也可以正常運(yùn)行；效率高，由于工作在應(yīng)用層，CPU 占用率低；封包還沒有按照低層協(xié)議進(jìn)行切片，所以比較完整。利用這項技術(shù)可以截獲所有的基于 Socket 的網(wǎng)絡(luò)通信。 此防火墻還采用兩種封包過濾技術(shù)：一是應(yīng)用層封包過濾，采用 Winsock 防火墻技術(shù)研究182 SPI ；二是核心層封包過濾，采用 NDIS_HOOK。所以其本身也有可能受到攻擊和出現(xiàn)軟、硬件方面的故障。另外,防火墻內(nèi)部各主機(jī)間的攻擊行為,防火墻出只有如旁觀者一樣冷視而愛莫能助。(5)防火墻對待內(nèi)部主動發(fā)起連接的攻擊一般無法阻擊“外緊內(nèi)松”是一般局域網(wǎng)絡(luò)的特點, 或許一道嚴(yán)密防火墻內(nèi)部的網(wǎng)絡(luò)是一片混亂也有可能。而當(dāng)防火墻謚出的時候, 整個防線就如同虛設(shè), 原本被禁止的連接也能從容通過了。防火墻的各種策略,也是在該攻擊方式經(jīng)過專家分析后根據(jù)其特征而進(jìn)行設(shè)置的, 如果世界上新發(fā)現(xiàn)某個主機(jī)漏洞的 CRACKER 把第一個攻擊對象擊中了您的網(wǎng)絡(luò),那么防火墻也沒有辦法幫助您的。即使防火墻進(jìn)行了很好的設(shè)置,使得攻擊無法滲透防火墻, 但各種攻擊仍然會源源不斷地向防火墻發(fā)出嘗試。互聯(lián)網(wǎng)上的病毒,惡意試探等造成的攻擊行為絡(luò)繹不絕。某些威脅是防火墻力所不及的。核心技術(shù)是基礎(chǔ),必須在這個基礎(chǔ)之上加入輔助功能才能流暢的工作。(5)被攔阻時能通過聲音或閃爍圖標(biāo)給用戶報警提示。攻擊者可以知道一個系統(tǒng)使用的頻繁程度, 這個系統(tǒng)是否有用戶正在連線上網(wǎng), 這個系統(tǒng)是否在被攻擊時引起注意等等。Finger 顯示了主機(jī)的所有用戶的注冊名、真名,最后登錄時間和使用 shell 類型等。再者, 隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題, 一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣, 甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。另外, 收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。(3) 對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計如果所有的訪問都經(jīng)過防火墻, 那么,防火墻就能記錄下這些訪問并作出日志記錄, 同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。與將網(wǎng)絡(luò)安全問題分散到各個主機(jī)上相比, 防火墻的集中安全管理更經(jīng)濟(jì)。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。如防火墻可以禁止諸如眾所周知的不安全的 NFS 協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò), 這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻的主體功能歸納為以下幾點：(1) 防火墻是網(wǎng)絡(luò)安全的屏障 一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性, 并通過過濾不安全的服務(wù)而降低風(fēng)險。防火墻的核心功能主要是包過濾。它主要的保護(hù)就是加強(qiáng)外部 Inter 對內(nèi)部網(wǎng)的訪問控制，它主要任務(wù)是允許特別的連接通過，也可以阻止其它不允許的連接。通常是指運(yùn)行特別編寫或更改過操作系統(tǒng)的計算機(jī)，它的目的就是保護(hù)內(nèi)部網(wǎng)的訪問安全。它結(jié)合了代理類型防火墻和包過濾防火墻的優(yōu)點，即保證了安全性又保持了高速度，同時它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。由于內(nèi)外網(wǎng)的計算機(jī)對話機(jī)會根本沒有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。圖 3 是動態(tài)防火墻的示意圖 應(yīng)用層表示層會話層傳輸層應(yīng)用層表示層會話層傳輸層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層數(shù)據(jù)鏈路層物理層數(shù)據(jù)鏈路層物理層連接狀態(tài)表圖 3 動態(tài)包過濾防火墻防火墻技術(shù)研究14以下我們了解的是代理防火墻。其中“信息包沖擊”是攻擊者最常用的攻擊手段：主要是攻擊者對包過濾防火墻發(fā)出一系列地址被替換成一連串順序 IP 地址的信息包，一旦有一個包通過了防火墻，那么攻擊者停止再發(fā)測試 IP 地址的信息包，用這個成功發(fā)送的地址來偽裝他們所發(fā)出的對內(nèi)部網(wǎng)有攻擊性的信息?！耢o態(tài)防火墻缺點：由于用戶的使用記錄沒有記載，如果有不懷好意的人進(jìn)行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的防火墻技術(shù)研究13來源。靜態(tài)包的過濾原理就是：將信息分成若干個小數(shù)據(jù)片（數(shù)據(jù)包） ，確認(rèn)符合防火墻的包過濾規(guī)則后，把這些個小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個完整的信息這個就是包過濾的原理。它會檢查所有通過信息包里的 IP 地址號，端口號及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準(zhǔn)備過濾的信息包一一匹配，其中：如果信息包中存在一點與過濾規(guī)則不符合，那么這個信息包里所有的信息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。內(nèi)部網(wǎng) Web服務(wù)器 防火墻Inter 圖 1 防火墻在網(wǎng)絡(luò)中的位置 防火墻的分類從防火墻的防范方式和側(cè)重點的不同來看，防火墻可以分為很多類型，但是根據(jù)防火墻對內(nèi)外來往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過濾防火墻和代理防火墻。及全面規(guī)劃等。在邏輯上，防火墻是過濾器 限制器和分析器；在物理上，防火墻的實現(xiàn)有多種方式。主要用來保護(hù)安全網(wǎng)免受來自不安全網(wǎng)絡(luò)的入侵，比如安全網(wǎng)絡(luò)可能是企業(yè)的內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)是因特網(wǎng)。第一章概括了引言，第二章概括了防火墻的概念及分類，第三章概括了防火墻的體系結(jié)構(gòu)，第四章概括了常見攻擊方式及應(yīng)對方式，第五章概括了防火墻的發(fā)展趨勢，第六章是結(jié)論。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。支持 IPSEC VPN ，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺路由器。此外，應(yīng)用層漏洞很多，攻擊特征庫需要頻繁升級，對于處在網(wǎng)絡(luò)出口關(guān)鍵位置的防火墻，如此頻繁地升級也是不現(xiàn)實的。因此，防火墻不適宜于集成內(nèi)容過濾、防病毒和 IDS 功能 ( 傳輸層以下的 IDS 除外，這些檢測對 CPU 消耗小 ) 。目前有的應(yīng)用環(huán)境，動輒應(yīng)用數(shù)百乃至數(shù)萬條規(guī)則，沒有算法支撐，對于狀態(tài)防火墻，建立會話的速度會十分緩慢。實現(xiàn)高速防火墻，算法也是一個關(guān)鍵，因為網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，因此比較容易實現(xiàn)高速。從國內(nèi)外歷次測試的結(jié)果都可以看出，目前防火墻一個很大的局限性是速度不夠。這些軟件都能夠獨(dú)立運(yùn)行于整個系統(tǒng)中或針對對個別程序、項目，所以在使用時十分方便及實用目的：限制網(wǎng)絡(luò)通信，提高安全性能。關(guān)鍵詞：S防火墻、規(guī)則匹配、統(tǒng)計分析防火墻技術(shù)研究5AbstractFrewall is the present work safe field equipment used extensively, its major purpose is to restrict illegal rate of flow in order to protect internal son . From disposition location, firewall is often located in work export , is the only passageway between internal and external , therefore raises the performance of firewall , avoid it This paper has quoted the writing of statement, is general to have stated type, function and the concept of firewall, leting us overall have known one theoretically firewall. It is analog to have described one Large scale dispersed incident visualized work emulator NS2(Network Simulator ) when WindowsNext installation process and make mistakes to handle. This paper focal point i